来自Facebook和Twitter的提醒：恶意SDK会从你的帐户中获取个人数据

据称，一些第三方应用程序正悄悄地从人们的Twitter和Facebook账户中窃取个人信息。

Facebook和Twitter透露，一些第三方应用程序未经用户同意，悄悄地从用户账户中窃取个人信息。

据该公司称，违反其政策的行为原因是第三方iOS和Android应用程序使用的两个“恶意”软件开发工具包（SDKs）。

SDK是用来显示广告的，专家们注意到，一旦社交网络的用户使用其中一个应用程序登录到其中一个服务，SDK就会悄悄地访问其个人资料以收集信息。

包含SDK代码的应用程序可以通过未指定的Android应用程序收集用户名，电子邮件地址和推文。

恶意SDK是由营销公司OneAudience开发的，Twitter已经将未经授权的活动通知了其客户。

Twitter发布的公告称：“我们最近收到一份有关OneAudience维护的恶意移动软件开发工具包（SDK）的报告。这个问题不是由于Twitter软件中的漏洞所致，而是由于应用程序内的SDK之间缺乏隔离性。我们的安全团队已经确定，嵌入在移动应用程序中的恶意SDK可能会利用移动生态系统中的漏洞，允许使用恶意SDK访问和获取个人信息（电子邮件、用户名、最后一条推文）。 ”

即使Twitter专家没有证据表明这是用来控制Twitter帐户的，他们仍然不排除攻击者可能使用SDK进行攻击的可能性。 

Twitter知道恶意SDK被用于访问部分使用Android设备的Twitter帐户的个人数据，但没有证据证明iOS版本的恶意SDK使用的方式相同。

Twitter向Google和Apple以及其他行业合作伙伴报告了这一事件，并呼吁采取行动阻止恶意SDK和包含其代码的应用程序。

Facebook宣布，它已经确定了另外两个SDK，其中一个是由一个用户维护的，另一个是来自营销公司MobiBurn的。

据称，恶意SDK正在收集个人资料，包括姓名、性别和电子邮件地址。

Facebook发言人告诉  The Register：“安全研究人员最近向我们通报了两个不良行为者：One Audience和Mobiburn，他们付钱给开发人员，让他们在一些流行应用商店提供的应用程序中使用恶意软件开发工具包（SDK）。”

“经过调查，我们从我们的平台上删除了违反我们平台政策的应用程序，并发出了针对One Audience和Mobiburn的终止信函。我们计划通知授予其权限后可能会共享其信息的用户允许访问其个人资料信息（例如姓名，电子邮件和性别）的应用程序。我们建议在选择允许哪些第三方应用访问其社交媒体帐户时要保持谨慎。”

虽然oneAudience没有对此事发表评论，但MobiBurn发表声明否认正在收集Facebook数据，并宣布对使用其SDK的第三方应用进行调查。

声明中写道：“MobiBurn没有收集、分享或利用来自Facebook的数据盈利。 MobiBurn主要是通过捆绑销售来充当数据业务的中介，即由第三方数据公司开发的SDK集合。 MobiBurn无法访问移动应用程序开发人员收集的任何数据，也无法处理或存储此类数据。 MobiBurn只通过向数据公司介绍移动应用程序开发人员来促进这一过程。尽管如此，在我们对第三方的调查完成之前，MobiBurn会停止所有活动。”